Los empleados de Uber descubrieron el jueves que una gran parte de su red interna había sido accedida por alguien que anunció la hazaña en el canal Slack de la compañía. El intruso, que envió capturas de pantalla que documentan la violación al New York Times y a los investigadores de seguridad, afirmó tener 18 años y fue inusualmente comunicativo sobre cómo ocurrió y hasta dónde llegó, según el medio de comunicación, que rompió la historia.
No pasó mucho tiempo para que los investigadores independientes, incluidos Bill Demirkapipara confirmar la cobertura de The New York Times y concluir que el intruso probablemente obtuvo acceso inicial contactando a un empleado de Uber a través de WhatsApp.
El hack de Uber es bastante severo y de amplio alcance. Deseando a sus equipos azules la mejor de las suertes y amor durante este período comprensiblemente difícil. Algunos pensamientos y observaciones basados en lo que hemos visto hasta ahora 👉 1/N
—Bill Demirkapi (@BillDemirkapi) 16 de septiembre de 2022
Después de obtener con éxito la contraseña de la cuenta del empleado, el pirata informático engañó al empleado para que aprobara una notificación automática para la autenticación multifactor. Luego, el intruso descubrió las credenciales administrativas que le daban acceso a algunos de los recursos de la red joya de la corona de Uber. Uber respondió cerrando partes de su red interna mientras investiga el alcance de la brecha.
Todavía no está claro con precisión a qué datos tuvo acceso el hacker o qué otras acciones tomó. Uber almacena una vertiginosa variedad de datos sobre sus usuarios, por lo que es posible que se pudiera acceder o acceder a las direcciones privadas y las idas y venidas cada hora de cientos de millones de personas.
Esto es lo que se sabe hasta ahora.
¿Cómo entró el hacker?
Según el NYT, el hilo de tweet de Demirkapi y otros investigadores vinculado anteriormente, el pirata informático diseñó socialmente a un empleado de Uber después de descubrir de alguna manera el número de WhatsApp del empleado. En mensajes directos, el intruso le indicó al empleado que iniciara sesión en un sitio falso de Uber, que rápidamente tomó las credenciales ingresadas en tiempo real y las usó para iniciar sesión en el sitio genuino de Uber.
Uber tenía MFA, abreviatura de autenticación multifactorial, en forma de una aplicación que solicita al empleado que presione un botón en un teléfono inteligente al iniciar sesión. Para eludir esta protección, el pirata informático ingresó repetidamente las credenciales en el sitio real. El empleado, aparentemente confundido o fatigado, eventualmente presionó el botón. Con eso el atacante estaba adentro.
Después de investigar, el atacante descubrió secuencias de comandos de PowerShell que un administrador había almacenado y que automatizaban el proceso de inicio de sesión en varios enclaves de red confidenciales. Los scripts incluían las credenciales necesarias.
¿Qué pasó después?
Según los informes, el atacante envió mensajes de texto a toda la empresa en los canales de Uber Slack, anunciando la hazaña.
“Anuncio que soy un hacker y Uber ha sufrido una violación de datos”, decía un mensaje, según el NYT. Las capturas de pantalla proporcionaron evidencia de que el individuo tenía acceso a los activos, incluidos los servicios web de Amazon de Uber y las cuentas y los repositorios de códigos de G Suite.
No está claro a qué otros datos tuvo acceso el pirata informático y si copió o compartió alguno de ellos con el mundo en general. Uber actualizó el viernes su página de divulgación para decir: “No tenemos evidencia de que el incidente involucró el acceso a datos confidenciales del usuario (como el historial de viajes)”.
¿Qué sabemos del hacker?
Poco. La persona dice tener 18 años y recurrió a los canales de Uber Slack para quejarse de que los conductores de Uber están mal pagados. Esto, y el hecho de que el intruso no tomó medidas para ocultar la violación, sugiere que es probable que la violación no esté motivada por ganancias financieras de ransomware, extorsión o espionaje. Hasta el momento se desconoce la identidad del individuo.
¿Qué está haciendo Uber ahora?
La empresa reconoció el incumplimiento y está investigando.
Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles.
— Comunicaciones de Uber (@Uber_Comms) 16 de septiembre de 2022
¿Un chico de 18 años De Verdad acceder a las joyas de la corona de una de las empresas más sensibles del mundo? ¿Cómo puede ser esto?
Es demasiado pronto para decirlo con certeza, pero el escenario parece plausible, incluso probable. Los ataques de phishing siguen siendo una de las formas más efectivas de intrusión en la red. ¿Por qué molestarse con explotaciones de día cero costosas y complejas cuando hay formas mucho más fáciles de traspasar?
Además, los ataques de phishing de los últimos meses se han vuelto cada vez más sofisticados. Sea testigo de este ataque que recientemente violó Twilio y se ha dirigido a muchas más empresas. La página de phishing transmitió automáticamente los nombres de usuario y contraseñas ingresados a los atacantes a través del servicio de mensajería Telegram, y el atacante los ingresó en el sitio real. Cuando un usuario ingresaba una contraseña de un solo uso generada por una aplicación de autenticación, los atacantes simplemente la ingresaban también. En el caso de que una cuenta estuviera protegida por una aplicación como Duo Security, los atacantes obtendrían acceso tan pronto como el empleado cumpliera.
¿Significa esto que el MFA que usa contraseñas de un solo uso o las inserciones son inútiles?
Este tipo de MFA protegerá a los usuarios si su contraseña se ve comprometida por una violación de la base de datos. Pero como se ha demostrado repetidamente, son lamentablemente inadecuados para detener los ataques de phishing. Hasta ahora, las únicas formas de MFA que son resistentes al phishing son aquellas que cumplen con un estándar de la industria conocido como FIDO2. Sigue siendo el estándar de oro de MFA.
Muchas organizaciones y culturas continúan creyendo que sus miembros son demasiado inteligentes para caer en los ataques de phishing. Les gusta la comodidad de las aplicaciones de autenticación en comparación con las formas FIDO2 de MFA, que requieren la posesión de un teléfono o una clave física. Este tipo de infracciones seguirá siendo un hecho de la vida hasta que cambie esta mentalidad.
¿Cuál es la reacción a la brecha hasta ahora?
El precio de las acciones de Uber bajó alrededor de un 4 por ciento el viernes, en medio de una venta masiva que hizo que los precios de las acciones de muchas empresas bajaran aún más. El promedio industrial Dow Jones cayó un 1 por ciento. El S&P 500 y el Nasdaq Composite cayeron un 1,2 por ciento y un 1,6 por ciento, respectivamente. No está claro qué está impulsando a las acciones de Uber a la baja y qué efecto, si es que tiene alguno, tiene la brecha en la caída.